Olá pessoal,
Tudo bem?
Nos últimos dois anos estive num cliente onde ativamos o TDE (Transparent Data Encryption), onde realizamos a criptografia dos datafiles para os tablespaces usados para a aplicação.
Para usar o TDE, o pré-requisito é que exista um wallet (um arquivo), onde a chave de criptografia (encryption key) será armazenada.
O wallet é lido para poder realizar a abertura dos datafiles.
Como estamos falando de criptografia, o wallet é protegido por senha. Ao configurar o TDE, é possível configurar o wallet de duas formas:
- Auto-login: um arquivo de auto-login é criado e não é necessário informar a senha do wallet para realizar a abertura do mesmo. Isso facilita o gerenciamento do ambiente.
- Password: não é possível realizar o auto-login, portanto, toda vez que o wallet é fechado (durante o shutdown do DB), para abrir o wallet novamente é necessário informar a senha do wallet. Isso torna o gerenciamento do ambiente um pouco mais complicado, pois é necessário informar a senha todas as vezes. No entanto, isso torna o ambiente levemente mais seguro, já que sem o arquivo de auto-login, o wallet não será aberto automaticamente.
A escolha de qual wallet usar deve ser feita baseado em custo X benefício.
Para o cliente em questão, eles usam o wallet por password. E, como boa prática, é interessante rotacionar a senha do wallet de vez em quando (frequência a ser definida pelo cliente).
Esse post mostra como alterar a senha do wallet. O comando é bem simples, pode ser realizado de forma online.
ADMINISTER KEY MANAGEMENT ALTER KEYSTORE PASSWORD FORCE KEYSTORE IDENTIFIED BY old_password SET new_password WITH BACKUP;
Esse comando criará um backup do wallet que possui a senha que está sendo alterada.
Apenas isso!
Espero que seja útil.
Um abraço,
Vinicius
